Az OpenBSD projekt fejlesztői kiadták a hordozható LibreSSL 3.9.0 csomagot, amely az OpenSSL egy elágazása, amelynek célja a magasabb szintű biztonság biztosítása. A LibreSSL projekt az SSL/TLS protokollok magas színvonalú támogatására összpontosít a felesleges funkciók eltávolításával, további biztonsági funkciók hozzáadásával, valamint a kódbázis jelentős megtisztításával és átdolgozásával. A LibreSSL 3.9.0 kísérleti kiadásnak tekinthető, olyan funkciókat fejleszt, amelyek az OpenBSD 7.5-ben is megjelennek. Ezzel egyidejűleg megjelent a stabil LibreSSL 3.8.3 kiadás, amely számos konkrét problémát kijavít. Windows hibák és a CET (Control-flow Enforcement Technology) védelmi mechanizmus továbbfejlesztett támogatása.
A LibreSSL 3.9.0 szolgáltatásai:
- Hozzáadott támogatás az ECDSA-alapú digitális aláírási algoritmusokhoz SHA-3 hashekkel.
- Hozzáadott támogatás a HMAC-hoz csonkolt SHA-2 és SHA-3 hashekkel PBE PRF-ként.
- Változások történtek a más platformokra való hordozhatóság javítása érdekében. A statikus csatolással kapcsolatos problémák elkerülése érdekében a legtöbb LibreSSL-ből exportált kompatibilitási szimbólum előtagja a „libressl_”. A CMake alapú buildekben a libcrypto compat szimbólumok exportálása leállt.
- Változások történtek az OpenSSL-lel való kompatibilitás javítása érdekében. Például a ChaCha algoritmushoz hozzáadták a ChaCha20 és chacha20 álneveket, egységesítették az SSL_library_init() és OPENSSL_init_ssl() függvények működését, és az EVP_{CIPHER,MD}_CTX_init() hívásokat a az OpenSSL viselkedése.
- Az openssl segédprogram hozzáadta a "-new -force_pubkey", "-multivalue-rdn", "-set_issuer", "-set_subject" és "-utf8" jelzők támogatását.
- Az OBJ_bsearch_() hívás használatáról a szabványos bsearch() függvényre változott.
- A by_file_ctrl(), EVP_Cipher{Init,Update,Final}() és OBJ_* API függvények megvalósítása egyszerűsödött.
- Az EVP API jelentős átszervezése megtörtént. Az EVP_add_{cipher,digest}() függvények eltávolítva.
- Az X509_TRUST egyszerűsített kezelése.
- A BIO_dump*() függvények átírásra kerültek.
- A többszálas használatra nem adaptált globális táblák támogatása megszűnt. Ebben a tekintetben az álnevek titkosításokhoz és kivonatokhoz való hozzárendelése, saját karakterláncok hozzáadása, ASN.1, PKEY és CRL metódusok már nem támogatottak.
- Eltávolították a BIO_set(), BIO_{sn,v,vsn}printf(), sk_find_ex() és OBJ_bsearch_() függvényeket, valamint sok elavult CRYPTO API függvényt.
- Az X509_CERT_AUX és X509_TRUST API-khoz való nyilvános hozzáférés leállt.
- A GOST és STREEBOG algoritmusok támogatása megszűnt.
- Kibővült a CET (Control-flow Enforcement Technology) mechanizmus támogatása, amely a visszatérés-orientált programozási technikákkal (ROP, Return-Oriented Programming) épített exploitok végrehajtása elleni védelemre szolgál.
Forrás: opennet.ru
